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(54) Verfahren zur Slcherung elner elektronlschen Geldborse gegen Obermasslge Benutzung 
und elektronische Geldbdrse 



(57) Bei einem Verfahren zur Sicherung einer durch 
Ubertragung von einem Konto ladbaren eleklronischen 
GeldbOrse gegen QbermaBige Benutzung und bei einer 
eleklronischen Geldbdrse, wobei zum Laden ein Lade* 
kommando von einer Autorisierungseinrichtung emp- 
fangen wird, wird ein Mawmalbetrag abgeiegt. Ein von 
der Summe alter in einem vorgegebenen Zeitraum gela- 
denen Betrage abhangiger Betrag wird gebildet. Ein 
weiteres Laden wird unterbunden. wenn durch die 
Summe aller in dem vorgegebenen Zeitraum geiadenen 
Betrage der Maximalbetrag erreicht Oder uberschritten 
wurde. 
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Beschreibung 



enthalt, 



[0001 1 Die Erfindung betrifft ein Verfahren zur Siche- 
rung einer durch Clbertragung von einem Konto laoba- 
ren elektronischen Geldborse gegen ObermaBige 5 
Benutzung, wobei zum Laden ein Ladekommando von 
einer Autorisierungseinrichtung empfangen wird, und 
eine elektronische Geldborse. 

[0002] -Eine.weserrtliche Eigenschaft elektronischer 
GeldbOrsen ist deren Nachladbarkeit. 1st der Betrag auf ro 
der Karte erschopft, kann vom Benutzer der elektroni- 
schen GetdbOrse sogenanntes elektronisches Geld in 
einen gesicherten Speicherbereich der Geldborse, die 
im allgemeinen als Chipkarte ausgebildet ist, nachgela- 
den werden. Bei kontogebundenen GeldbOrsensyste- is 
men wird der Nachladebetrag vom Konto des 
Karteninhabers abgebucht und dem Konto des Borsen- 
betreibers gutgeschrieben. Da beim Nachladevorgang 
in der Regel nicht unmittelbar (online) auf das Konto 
des Karteninhabers zugegriffen wird, sondern eine Ver- 20 
bindung zu einer Autorisierungseinrichtung aufgebaut 
wird, kann es langere Zeit dauern, bis der Borsenbetrei- 
ber daruber Kenntnis erhalt. daB das Konto des Karten- 
inhabers nicht gedeckt ist oder dieser eine 
RucHastschrift veranlaBt hat. 25 
[0003] Bekannte Geldbdrsensysteme enthatten Maxi- 
malbetrage, bis zu deren H6he eine Aufladung vorge- 
nommen werden kann. Wenn aber in betrugerischer 
Absicht in sehr kurzen Zeitraumen immer wieder nach- 
geladen wird und die geladenen Maximaibetrage kurz- 30 
fristig verbraucht werden, indem wiederverauBerbare 
Guter wie beispielsweise Zigaretten aus Automaten 
gekauft werden, konnen in kurzen Zeitspannen hohe 
Forderungen gegenuber dem Konto des Karteninha- 
bers entstehen. Ober vorangegangene Bonitatsprufun- 35 
gen laBt sich dieses Risiko nur teilweise begrenzen. 
[0004] Aufgabe der Erfindung ist es deshalb, ein Ver- 
fahren und eine Geldborse mit einer Sicherung gegen 
ObermaBige Benutzung anzugeben. 
[0005] Diese Aufgabe wird bei dem erfindungs- 40 
gemaBen Verfahren dadurch gelost. daB ein Maximal- 
betrag abgelegt wird, daB ein von der Summe aller in 
einem vorgegebenen Zeitraum geladenen Betrage 
abhangiger Betrag gebildet wird und daB ein weiteres 
Laden unterbunden wird, wenn durch die Summe aller 45 
in dem vorgegebenen Zeitraum geladenen Betrage der 
Maximalbetrag erreicht oder Qberschritten wurde. 
[0006] Dabei kann der von der Summe abhangige 
Betrag die Summe selbst sein. die dann jeweils mit dem 
Maximalbetrag vergtichen wird. Es ist jedoch auch mog- 50 
lich, den abhangigen Betrag durch Subtraktion der 
jeweils geladenen Betrage vom Maximalbetrag zu bil- 
den und den Maximalbetrag als erreicht anzusehen, 
wenn der abhangige Betrag zu Null wird. 
[0007] Im eiruelnen ist bei dem erfindungsgemaBen ss 
Verfahren vorgesehen, daB ein in einem Datenfeld 
abgelegter Zeitraum den vorgegebenen Zeitraum bil- 
det, daB auf ein Ladekommando, das eine Zeitangabe 



der Ladevorgang abgebrochen wird, wenn die Zeit- 
angabe innerhalb des abgelegten Zeitraumes liegt 
und wenn dadurch der Maximalbetrag erreicht oder 
Qberschritten wurde. 

der Ladevorgang zu Ende gefuhrt wird und die 
Summe urn den geladenen Betrag erhoht wird, 
wenn die Zeitangabe innerhalb des abgelegten 
Zeitraums liegt und wenn der Maximalbetrag durch 
das Laden nicht erreicht oder uberschritten wird, 
und 

der abgelegte Zeitraum mit einem der Zeitangabe 
entsprechenden Zeitraum uberschrieben wird, der 
Ladevorgang fortgesetzt wird und die Summe auf 
den geladenen Betrag gesetzt wird, wenn die Zeit- 
angabe nach dem abgelegten Zeitraum liegt. 

[0008] Der vorgegebene Zeitraum kann beispiels- 
weise ein Kalendermonat sein, wobei durch einen in 
einem. spateren Kalendermonat erfolgenden Ladevor- 
gang die Summe auf den neuen Betrag gesetzt wird. Es 
ist im Rahmen der Erfindung jedoch auch m6glich, den 
Zeitraum mitzufuhren, so daB bei jedem Ladevorgang 
jeweils die in dem unmittelbar vorangegangenen Zeit- 
raum erfolgten Ladungen berucksichtigt werden. 
[0009] Bei dem erfindungsgemaBen Verfahren. kdn- 
nen der Maximalbetrag. die Summe und/oder der vor- 
gegebene Zeitraum in der Autorisierungseinrichtung 
oder in der elektronischen GeldbSrse abgelegt sein. Die 
Ablage in der Geldborse hat den Vorteil, daB zusatzli- 
che Strukturen zur Clberwachung der Summe innerhalb 
einer zentralen Kartenverwaltung des Betreibers nicht 
erforderlich sind. Wird jedoch die Summe in der Autori- 
sierungseinrichtung abgelegt und entsprechend aktuali- 
siert, konnen PlausibilitatsprOfungen, die an sich zur 
Verhinderung von MiBbrauch bekannt sind, verbessert 
werden. 

[001 0] Je nach erwarteter Bonitat des Karteninhabers 
kann ein unterschiedlicher Maximalbetrag - im folgen- 
den auch zeitbezogener Maximalbetrag genannt - 
abgelegt werden. Dies kann mit der Personalisierung 
der elektronischen Geldbflrse geschehen. wozu bei der 
PrOfung des entsprechenden Antrages Qber die Bonitat 
entschieden und der entsprechende zeitbezogene 
Maximalbetrag zusatzlich mit den Obrigen Antragsdaten 
in ein Verwaltungssystem eingegeben wird. 
[001 1 ] Im Falle einer Speicherung des zeitbezogenen 
Maximalbetrag es in der elektronischen Geldborse wird 
der zeitbezogene Maximalbetrag bei der Personalisie- 
rung zusammen mit den ubrigen Daten unter Beach- 
tung der Zugangsbedingungen in die Geldborse 
gel ad en. 

[0012] Der zeitbezogene Maximalbetrag kann gege- 
benerrfalls spater verandert werden, wenn dem Karten- 
inhaber der ursprungliche Maximalbetrag nicht 
ausreicht und sich der BOrsenbetreiber von der Bonitat 
des Kunden Oberzeugt hat. Eine Veranderung sollte nur 
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nach Online-Kopplung zur Autorisierungseinrichtung 
und nach Autorisierung mit dem fur das den Maximaibe- 
trag enthaltene Datertfile gultigen Zugangschlussel des 
BOrsenbetreibers mOglich sein. 
[0013] Mit einer erfindungsgemaBen elektronischen 
GeldbOrse wind die Aufgabe dadurch gelOst, daB etn 
weiterer Speicherbereich fur einen Maximalbetrag vor- 
gesehen ist, der die zulassige Summe aller in einem 
vorgegebenen Zeitraum zu iadenden Betrage darstellt. 
[0014] Eine Sicherung gegen MiBbrauch durch Ande- 
rung des Maximalbetrages durch den Karteninhaber 
und trotzdem eine nachtragliche Anderung des Maxi- 
malbetrages durch den Betreiber ist bei der erfindungs- 
gemaBen elektronischen GeldbOrse dadurch mOglich. 
daB der abgelegte Maximalbetrag nach Autorisierung 
mit einem dafur vergebenen Zugangsschlussel veran- 
derbar ist. 

[0015] ""Eine vorteilhatte Ausgestaltung der Erfindung - 

besteht darin, daB ein anderer Speicherbereich zur Auf- 
nahme des vorgegebenen Zeitraums vorgesehen ist, 
der uberschreibbar ist, wenn ein Ladekommando ein-. 
trifft, das eine Zeitangabe enthalt, die nach dem abge- 
legten Zeitraum liegt und daB dann die in einem 
zusatzlichen Speicherbereich abgelegte Summe der im 
vorgegebenen Zeitraum geladenen Betrage zuruck- 
setzbar ist, wobei die Summe auf den dann zu Iadenden 
Betrag gesetzt wird, wenn dieser nicht den zulassigen 
Maximalbetrag uberschreitet. 

[001 6] Ferner kann bei der elektronischen GeldbOrse 
vorgesehen sein, daB ein in der elektronischen Geld- 
bOrse gespeichertes Programm den jeweils zu Iaden- 
den Betrag zur Summe aller im vorgegebenen Zeitraum 
geladenen Betrage addiert, sofern im Ladekommando 
kein spaterer Zeitraum enthalten ist und der Maximalbe- 
trag nicht uberschritten wird. 

[001 7] Ausfuhrungsbeispiele der Erfindung sind in der 
Zeichnung anhand mehrerer Figuren dargestellt und in 
der nachfolgenden Beschreibung naher ertautert. Es 
zeigt: 

Fig. 1 ein AWaufdiagramm, das die in der Geld- 
bOrse und in einer Autorisierungseinrichtung 
stattfindenden MaBnahmen beim Ladevor- 
gang darstellt, und 

Fig. 2 einen Teil eines Datenfiles auf einer 
erfindungsgemaBen Chipkarte. 

[0018] Fig. 1 stellt als Ausschnitt aus umfassenderen 
Programmen die jeweils zum Laden der GeldbOrse - im 
folgenden auch Karte genanrrt - erforderlichen Pro- 
grammschritte in der Karte K und in der Autorisierungs- 
einrichtung A sowie den Austausch von Daten zwischen 
beiden Einrichtungen dar. Auf jeweils einen Start 1 . 2 
der Programme folgen Schritte, deren Erlauterung zum 
Verstandnis der Erfindung nicht erforderlich ist und die 
daher nicht dargestellt sind. Unter anderem wird eine 
Authentifikation der Karte. eine PJN-Prufung und die 
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Ableitung des kartenindividuellen Ladeschlussels K L 
durchgefuhrt. 

[0019] Bei 3 erfolgt eine Arrfrage durch die Autorisie- 
rungseinrichtung A an die Karte K nach einer Zufalls- 
5 zahl R1 , die bei 4 in der Karte K eintrifft Daraufhin wird 
bei 5 die Zufaltszahl R1 generiert und zur Autorisie- 
rungseinrichtung A ubertragen, wo sie bei 6 empfangen 
wird. Dann generiert die Autorisierungseinrichtung das 
Ladekommando im Programmschritt 7. wobei ein vom 
10 Karteninhaber zuvor eingegebener Betrag B benutzt 
wird. Die Zufallszahl R1 stellt die EinmaJigkeit des Lade- 
kommandos sicher. Aus kartenindividuellen Daten, die 
in der Rgur lediglich mit Punkten angedeutet sind. dem 
Betrag. der aktuellen Monatsangabe MA und der 
is Zufallszahl R1 wird bei 8 ein Kryptogramm eK L erzeugt. 
das bei 9 zusammen mit den unverschiusselten Daten 
zur Karte Kgesendet und dort bei 10 empfangen wird. 
[0020] — Im-Programmschritt-TI -wird aus-den unver- 
schiusselten bei 10 empfangenen Daten ein weiteres 
20 Kryptogramm eK L1 (..., B, MA, R1) generiert Bei 12 
wird geprQft, ob eK L und e^ gleich sind. Ist dieses 
nicht der Fall, wird der Ladevorgang bei 13 abgebro- 
chen, wonach bei 14 eine Fehlermeldung an die Autori- 
sierungseinrichtung A gesendet und bei 15 das 
25 P rogramm beendet wi rd. 

[0021] Wird jedoch bei 12 Gleichheit festgestellt, 
erfolgt bei 16 eine Prufung, ob der in der Karte K 
gespeicherte Monat MC Weiner als der von der Autori- 
sierungseinrichtung A Qbertragene Monat MA ist. Ist 
30 dieses nicht der Fall, bedeutet dies, daB die Karte in 
dem gleichen Monat MA bereits einmal geladen wurde. 
Es wird deshalb bei 1 7 gepruft, ob die bisher gespei- 
cherte Summe SB zuzuglich des zu Iadenden Betrag es 
B bereits den zeitbezogenen Maximalbetrag BM, der in 
35 der Karte gespeichert ist, erreicht hat. Ist dieses der 
Fall, wird ebenfalls bei 13 die Ladung abgebrochen. Ist 
der Maximalbetrag noch nicht erreicht, wird bei 18 der 
zu ladende Betrag der bis dahin gultigen Summe SB 
hinzuaddiert, worauf bei 19 der eigentliche Ladevor- 
40 gang stattfindet, namlich die ErhOhung des in der Karte 
vorhandenen Guthabens G um den zu Iadenden Betrag 
B. Daraufhin wird bei 20 eine Meldung Qber den erfolg- 
ten Ladevorgang zur Autorisierungseinrichtung A 
gesendet die bei 21 dort empfangen wird. Daraufhin 
45 werden die Programme bei 15 bzw. 22 beendet. 

[00221 Wird bei 16 festgestellt daB MC Weiner als MA 
ist, daB namlich der Ladevorgang in einem spateren 
Monat als demjenigen Monat, der auf der Karte gespei- 
chert ist, stattfindet, wird bei 23 gepruft, ob der zu 
so ladende Betrag kl einer als der Maximalbetrag ist. 1st 
dieses nicht der Fall, wird der Ladevorgang bei 13 abge- 
brochen. Ist der zu ladende Betrag jedoch Weiner, wird 
bei 24 der gespeicherte Monat MC auf den aktuellen 
Monat MA gesetzt, worauf bei 25 die Summe SB auf 
55 den zu Iadenden Betrag gesetzt wird. Daran schlieBt 
sich der Ladevorgang 19 an. 

[0023] Fig. 2 zeigt einen Teil des im Speicher der 
Karte vorgesehenen Datenfiles, der zur Durchfuhrung 
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des erfindungsgemaGen Verfahrens vorgesehen ist, in 
Form einer Tabelle. Dabei ist in einem ersten Datenfeld 
31 der zeitbezogene Maximalbetrag BM binar codiert 
mit einer Lange von drei Byte abgelegt Ein zweites 
Datenfeld 32 ist fur die Summe der bereits im jeweiligen 5 5. 
Zeitraum vorgesehenen Betrage SB vorgesehen, die 
ebenfalls mit einer Lange von drei Byte binar codiert ist. 
SchlieGtich enthalt das Datenfile ein Datenfeld 33 fur 
den Bezugmonat MC. der mit einer Lange von 2 Byte 
BCD-codiertist " " " 10 ~ 

Patentanspruche 

1. Verfahren zur Sicherung einer durch Ubertragung 6. 
von einem Konto ladbaren elektronischen Ge(d- is 
bdrse gegen ObermaBige Benutzung. wobei zum 
Laden ein Ladekommando von einer Autorisie- 
rungseinrichtung empfangen wird. dadurch 
gekennzeichnet daR ein Maximalbetrag abgelegt 7. 
wird. daG ein von der Summe aller in einem vorge- 20 
gebenen Zeitraum geiadenen Betrage abhangiger 
Betrag gebildet wird und daG ein weiteres Laden 
unterbunden wird, wenn durch die Summe aller in 

dem vorgegebenen Zeitraum geiadenen Betrage 
der Maximalbetrag erreicht Oder uberschritten 25 
wurde. 

2. Verfahren nach Anspruch 2. dadurch gekenn- 
zeichnet, daG ein in einem Datenfeld abgelegter 
Zeitraum den vorgegebenen Zeitraum bildet, daG 30 
auf ein Ladekommando, das eine Zeitangabe ent- 
halt, 

8. 

der Ladevorgang abgebrochen wird, wenn die 
Zeitangabe innerhalb des abgelegten Zeitrau- 35 
mes liegt und wenn dadurch der Maximalbe- 
trag erreicht oder uberschritten wurde, 
der Ladevorgang zu Ende gefOhrt wird und die 
Summe um den geiadenen Betrag erhOht wird, 
wenn die Zeitangabe innerhalb des abgelegten 40 
Zeitrau ms liegt und wenn der Maximalbetrag 
durch das Laden nicht erreicht oder uberschrit- 
ten wird, und 

der abgelegte Zeitraum mit einem der Zeitan- 
gabe entsprechenden Zeitraum Qberschrieben 45 
wird, der Ladevorgang fortgesetzt wird und die 
Summe auf den geiadenen Betrag gesetzt 
wird, wenn die Zeitangabe nach dem abgeleg- 
ten Zeitraum liegt 

50 

3. Verfahren nach einem der vorhergehenden Anspru- 
che, dadurch gekennzeichnet, daG der Maximalbe- 
trag. die Summe und/oder der vorgegebene 
Zeitraum in der Autorisierungseinrichtung abgelegt 
sind. 55 



trag, die Summe und/oder der vorgegebene 
Zeitraum in der elektronischen Geldborse abgelegt 
sind. 

Elektronische Geldbdrse, die durch Ubertragung 
von einem Konto ladbar ist und mindestens einen 
Speicherbereich fur das jeweilige Guthaben auf- 
weist, dadurch gekennzeichnet, daG ein weiterer 
Speicherbereich (31) fur einen Maximalbetrag vor- 
~ gesehen ist der die zulassige* Summe aJIer~in" 
einem vorgegebenen Zeitraum zu ladenden 
Betrage darstellt. 

Elektronische Geldbdrse nach Anspruch 5, 
dadurch gekennzeichnet, daG der abgelegte Maxi- 
malbetrag nach Autorisierung mit einem dafur ver- 
gebenen Zugangsschlussel veranderbar ist. 

Elektronische Geldbdrse nach einem der Anspru- 
che 5 oder 6. dadurch gekennzeichnet. daG ein 
anderer Speicherbereich (33) zur Aufnahme des 
vorgegebenen Zeitraums vorgesehen ist. der uber* 
schreibbar ist, wenn ein Ladekommando eintrifft. 
das eine Zeitangabe enthalt. die nach dem abge- 
legten Zeitraum liegt und daG dann die in einem 
zusatzlichen Speicherbereich (32) abgelegte 
Summe der im vorgegebenen Zeitraum geiadenen 
Betrage zurucksetzbar ist, wobei die Summe auf 
den dann zu ladenden Betrag gesetzt wird, wenn 
dieser nicht den zulassigen Maximalbetrag uber- 
schreitet 

Elektronische Geldborse nach Anspruch 7, 
dadurch gekennzeichnet, daG ein in der elektroni- 
schen Geldbdrse gespeichertes Programm den 
jeweils zu ladenden Betrag zur Summe aller im vor- 
gegebenen Zeitraum geiadenen Betrage addiert, 
sofern im Ladekommando kein spaterer Zeitraum 
enthalten ist und der Maximalbetrag nicht uber- 
schritten wird. 



Verfahren nach einem der vorhergehenden Anspru- 
che, dadurch gekennzeichnet daG der Maximalbe- 
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